MDK-user
08.11.06, 12:19
Hallo Euch,
ich/wir haben uns mal die Arbeit gemacht eine kleine (evtl. nicht vollständige) Liste zu erstellen mit bekannten Trojaner und anderem bösem Zeugs
Im FW Script einfach zu sperren indem man die Netzwerkschnitstelle (eth oder ppp) angibt usw. Beispiel :
iptables -A FORWARD -i eth0 -p tcp --dport 20034 -j DROP
-i eth0 --dport zeigt die Richtung (-i steht für input also Eingang), alle ankommenden Pakete auf eth0 mit Zielport 20034 werden verworfen
die gleiche Zeile für iptables sieht so aus:
-A FORWARD -i eth0 -p tcp --dport 20034 -j DROP
Anderes Beispiel:
iptables -A INPUT -p tcp --dport 20043 -j DROP
-A INPUT -p tcp --dport 20043 -j DROP
Hier werden generell Pakete mit Ziel (--dport) gesperrt
Eine weitere Möglichkeit -i und -o kombinieren und eingehende (-i)Pakete verwerfen, Ausgehende(-o) erlauben:
-A FORWARD -i ppp0 -p tcp --dport 21 -j DROP
-A FORWARD -o ppp0 -p tcp --dport 21 -j ACCEPT
hier werden Pakete mit Zielport 21 die auf ppp0 ankommen verworfen, Pakete mit Zielport 21 die auf ppp0 ausgehend sind aber erlaubt
Kommen wir zur kleinen Liste bekannter Ports und Trojaner, anhand dieser Liste ist es möglich DROP Zeilen zu erstellen:
(viel Spaß damit)
1000-40000 Icq Ports (Port is ramdomly choosen)
2 Death
21 Doly Trojan 1.1 , Back Construction , Blade Runner , Fore , FTP trojan , Invisible FTP , Larva , MBT , Motiv , Net Administrator , Senna Spy FTP Server , WebEx , WinCrash
23 Tiny Telnet Server , Truva Atl
25 Antigen , Aji , Email Password Sender , Gip , Happy 99 , I Love You , Kuang 2 , Magic Horse , Moscow Email Trojan , Naebi , NewApt , ProMail trojan , Shtrilitz , Stealth , Tapiras , Terminator , WinPC , WinSpy
31 Agent 31 , Master's Paradise , Hacker's Paradise
41 Deep Throat
48 DRAT
50 DRAT
58 DM Setup
59 DM Setup
79 Firehotcker
80 Executor , Back End , Hooker , RingZero
99 Hidden Port 2.0
110 ProMail Trojan
113 Invisible Identd Deamon , Kazimas
119 Happy 99
121 BO , Jammer KillahV
123 Net Controller
133 Farnaz, 146 - Infector
146 Infector
170 A-trojan
421 TCP Wrappers
456 Hackers Paradise
531 Rasmin
555 NeTadmin , Stealth Spy , Phase 0 , Ini-Killer
606 Secret Service
666 Attack FTP , Satanz Backdoor , Back Construction , NokNok , Cain & Abel , ServeU , Shadow Phyre
667 SniperNet
669 DP Trojan
692 GayOL
777 AimSpy
808 WinHole
911 Dark Shadow
999 DeepThroat , WinSatan
1000 Der Spaeher 3
1001 Silencer , WebEx , Le Guardien , Silencer
1010 Doly trojan v1.35
1011 Doly trojan
1012 Doly trojan
1015 Doly trojan v1.5
1016 Doly Trojan 1.6
1020 Vampire
1024 Netspy , Bla1.1
1027 ICQ
1029 ICQ
1032 ICQ
1033 Netspy
1042 Bla 1.1
1045 Rasmin
1050 Mini Command 1.2
1080 Firewall Port , Wingate (Socks-Proxy)
1081 WinHole
1082 WinHole
1083 WinHole
1090 Xtreme
1095 RAT
1097 RAT
1098 RAT
1099 BFevolution, RAT
1170 Psyber Stream Server , Streaming Audio Trojan , Voice
1200 NoBackO
1201 NoBackO
1207 SoftWar
1212 Kaos
1225 Scarab
1234 Ultors Trojan
1243 SubSeven , BackDoor-G , Apocalypse , Tiles
1245 VooDoo Doll , GabanBus , NetBus
1255 Scarab
1256 Project nEXT
1269 Maverick's Matrix
1313 NETrojan
1338 Millenium Worm
1349 Back Orifice DLL
1492 FTP99CMP
1509 Psyber Streaming Server
1524 Trinoo
1600 Shivka-Burka
1777 Scarab
1807 SpySender
1966 FakeFTP
1969 OpC BO
1981 Shockrave
1999 BackDoor , Transcout 1.1 + 1.2
2000 Der Spaeher 3 , Transscout , Insane Network 4
2001 Trojan Cow , DerSpaeher 3 , TransScout
2002 TransScout
2003 TransScout
2004 TransScout
2005 TransScout
2023 Pass Ripper
2080 WinHole
2115 Bugs
2140 Deep Throat , The Invasor
2155 Illusion Mailer
2283 HVL Rat5
2300 Xplorer
2565 Striker
2583 WinCrash , Wincrash2
2600 Digital RootBeer
2716 The Prayer
2773 SubSeven
2801 Phineas Phucker
2989 Rat
3000 Remote Shutdown
3024 WinCrash No
3128 RingZero
3129 Master's Paradise
3150 Deep Throat (TCP & UDP) , The Invasor
3389 Win 2k Remote Terminal Service
3456 Teror Trojan
3459 Eclipse 2000 , Sanctuary
3700 Portal of Doom
3791 Total Eclypse 1.0
3801 Eclypse
4000 Skydance
4092 WinCrash
4242 Virtual hacking Machine
4321 Schoolbus 1.0 , BoBo
4444 Prosiak , Swift remote
4567 FileNail
4590 ICQTrojan
4950 ICQTrojan
5000 Sockets de Troie , Socket23 , Bubbel , Back Door Setup
5001 Sockets de Troie 1.x , Back Door Setup
5010 Solo
5011 OOTLT + OOTLT Cart
5031 Net Metropolitan 1.0
5032 Net Metropolitan 1.04
5321 Firehotcker
5343 wCrat
5400 BackConstruction1.2 , Blade Runner
5400 Blade Runner , Back Construction
5401 Blade Runner 1.x , Back Construction
5402 Blade Runner 2.x , Back Construction
5512 Illusion Mailer
5521 Illusion Mailer
5550 Xtcp 2.00 + 2.01
5555 ServeMe
5556 BO Facil
5557 BO Facil
5569 Robo-Hack
5631 PC-Anywhere
5637 PC Crasher
5638 PC Crasher
5714 WinCrash
5741 WinCrash
5742 Wincrash
5882 Y3K RAT
5888 Y3K RAT
6000 The tHing 1.6
6006 The tHing
6272 Secret Service
6400 The tHing
6666 TCPShell.c
6667 Schedule Agent
6669 Vampire , HostControl 1.0
6670 DeepThroat 1,2,3.x , BackWeb Server , WinNuke eXtreame
6671 DeepThroat 2.0 & 3.0
6711 Sub Seven
6712 Sub Seven , Funny Trojan
6713 Sub Seven
6723 Mstream
6771 DeepThroat
6776 Sub Seven , 2000 Cracks , BackDoor-G
6838 Mstream
6883 DeltaSource (DarkStar)
6912 Shitheep
6939 Indoctrination
6969 GateCrasher , Priority , IRC 3 , NetController
6970 Gate Crasher
7000 Remote Grab , Kazimas , SubSeven
7001 Freak 88
7215 SubSeven
7300 NetMonitor
7301 NetMonitor 1.x
7306 NetMonitor 2.x
7307 NetMonitor 3.x
7308 NetMonitor 4.x
7424 Host Control
7789 ICQKiller , Back Door Setup
7983 Mstream
8080 RingZero
8787 Back Orifice 2000
8879 Hack Office Armageddon
8897 BacHack
8988 BacHack
8989 Rcon
9000 Netministrator
9325 Mstream
9400 InCommand 1.0+1.1+1.2+1.3+1.4
9872 Portal of Doom
9873 Portal of Doom 1.x
9874 Portal of Doom 2.x
9875 Portal of Doom 3.x
9876 Cyber Attacker , RUX
9878 TransScout
9989 iNi-Killer
9999 ThePrayer 1.x
10067 Portal of Doom 4.x
10101 BrainSpy
10167 Portal of Doom 5.x
10520 Acid Shivers
10528 Host Control
10607 Coma , Danny
10666 Ambush
11000 Senna Spy Trojans
11050 Host Control
11051 Host Control
11223 Progenic trojan , Secret Agent
12076 Gjamer
12223 Hack´99 KeyLogger
12345 Netbus , Ultor's Telnet Trojan , GabanBus , My Pics , Pie Bill Gates , Whack Job , X-bill
12346 NetBus 1.x , GabanBus , X-bill
12349 BioNet
12361 Whack-a-mole
12362 Whack-a-mole 1.x
12623 DUN Control
12624 Buttman
12631 WhackJob
12701 Eclipse 2000
12754 Mstream
13000 Senna Spy
13010 Hacker Brazil
13700 Kuang2 The Virus
14141 BO2K-Plugin BO_Peep , Hijack
15092 Host Control
15104 Mstream
15151 BO2K-Plugin , BO_Peep - VidStream
16484 Mosucker
16660 Stacheldracht
16772 ICQ Revenge
16969 Priority
17166 Mosaic
17300 Kuang2 theVirus
17777 Nephron
18753 Shaft
19864 ICQ Revenge
20000 Millennium
20001 Millennium
20002 AcidkoR
20034 NetBus Pro , NetBus 2 Pro , NetRex , Whack Job
20203 Chupacabra , Logged!
20331 Bla
20432 Shaft
21544 GirlFriend , Schwindler 1.82 , Kidterror , WinSp00fer
21554 GirlFriend
22222 Prosiak 0.47
23023 Logged
23432 Asylium Family
23456 Evil FTP , Ugly FTP , WhackJob
23476 Donald Dick
23477 Donald Dick
26274 Delta Source
26681 Spy Voice
27374 Sub7 2.1
27444 Trinoo
27573 SubSeven
27665 Trinoo
29104 Host Control
29891 The Unexplained
30001 TerrOr32
30029 AOLTrojan1.1
30100 NetSphere
30101 NetSphere
30102 NetSphere
30103 NetSphere
30129 Masters Paradise
30133 Netsphere Final
30303 Sockets de Troie
30947 Intruse Pack 1.27b
30999 Kuang
31335 Trinoo
31336 Bo Whack , ButtFunnel
31337 Back Orifice , Netpatch , DeepBO , Freak> , Baron Night
31338 Back Orifice , DeepBO , NetSpy , ButtFunnel
31339 NetSpy DK
31666 BOWhack
31785 Hack'a'Tack
31787 Hack'a'Tack
31788 Hack'a'Tack
31789 Hack'a'Tack
31791 Hack'a'Tack
32100 Peanut Brittle , Project nEXT
32418 Acid Battery 1.0
33333 Prosiak , Blakharaz
33577 PsychWard
33777 PsychWard
33911 Trojan Spirit 2001 a
34324 BigGluck , Tiny Telnet Server
34555 Trinoo (Windows)
35555 Trinoo (Windows)
37651 YAT
40412 The Spy
40421 MastersParadise
40422 Masters Paradise 1.x
40423 Masters Paradise 2.x
40425 Masters Paradise
40426 Masters Paradise 3.x
41666 Remote Boot
43210 Schoolbus 1.6 & 2.0
44444 Prosiak , Stealthy TCP IO(BO2K Plugin)
47252 Delta Source
47262 Delta Source
49301 Online Keylogger
50505 Sockets de Troie
50766 Fore, Schwindler
51996 Cafeini
52317 Acid Battery 2000
53001 Remote Windows Shutdown
54283 SubSeven
54320 Back Orifice 2000
54321 Schoolbus 1.6 & 2.0 , Back Orifice
57341 NetRaider
58339 ButtFunnel
60000 Deep Throat 2.0 & 3.0
60068 Xzip 6000068
60411 Connection
61348 Bunker-Hill
61466 Telecommando
61603 Bunker-Hill
63485 Bunker-Hill
65000 Devil 1.03 , Stacheldracht
65432 The Traitor
65535 RC
ich/wir haben uns mal die Arbeit gemacht eine kleine (evtl. nicht vollständige) Liste zu erstellen mit bekannten Trojaner und anderem bösem Zeugs
Im FW Script einfach zu sperren indem man die Netzwerkschnitstelle (eth oder ppp) angibt usw. Beispiel :
iptables -A FORWARD -i eth0 -p tcp --dport 20034 -j DROP
-i eth0 --dport zeigt die Richtung (-i steht für input also Eingang), alle ankommenden Pakete auf eth0 mit Zielport 20034 werden verworfen
die gleiche Zeile für iptables sieht so aus:
-A FORWARD -i eth0 -p tcp --dport 20034 -j DROP
Anderes Beispiel:
iptables -A INPUT -p tcp --dport 20043 -j DROP
-A INPUT -p tcp --dport 20043 -j DROP
Hier werden generell Pakete mit Ziel (--dport) gesperrt
Eine weitere Möglichkeit -i und -o kombinieren und eingehende (-i)Pakete verwerfen, Ausgehende(-o) erlauben:
-A FORWARD -i ppp0 -p tcp --dport 21 -j DROP
-A FORWARD -o ppp0 -p tcp --dport 21 -j ACCEPT
hier werden Pakete mit Zielport 21 die auf ppp0 ankommen verworfen, Pakete mit Zielport 21 die auf ppp0 ausgehend sind aber erlaubt
Kommen wir zur kleinen Liste bekannter Ports und Trojaner, anhand dieser Liste ist es möglich DROP Zeilen zu erstellen:
(viel Spaß damit)
1000-40000 Icq Ports (Port is ramdomly choosen)
2 Death
21 Doly Trojan 1.1 , Back Construction , Blade Runner , Fore , FTP trojan , Invisible FTP , Larva , MBT , Motiv , Net Administrator , Senna Spy FTP Server , WebEx , WinCrash
23 Tiny Telnet Server , Truva Atl
25 Antigen , Aji , Email Password Sender , Gip , Happy 99 , I Love You , Kuang 2 , Magic Horse , Moscow Email Trojan , Naebi , NewApt , ProMail trojan , Shtrilitz , Stealth , Tapiras , Terminator , WinPC , WinSpy
31 Agent 31 , Master's Paradise , Hacker's Paradise
41 Deep Throat
48 DRAT
50 DRAT
58 DM Setup
59 DM Setup
79 Firehotcker
80 Executor , Back End , Hooker , RingZero
99 Hidden Port 2.0
110 ProMail Trojan
113 Invisible Identd Deamon , Kazimas
119 Happy 99
121 BO , Jammer KillahV
123 Net Controller
133 Farnaz, 146 - Infector
146 Infector
170 A-trojan
421 TCP Wrappers
456 Hackers Paradise
531 Rasmin
555 NeTadmin , Stealth Spy , Phase 0 , Ini-Killer
606 Secret Service
666 Attack FTP , Satanz Backdoor , Back Construction , NokNok , Cain & Abel , ServeU , Shadow Phyre
667 SniperNet
669 DP Trojan
692 GayOL
777 AimSpy
808 WinHole
911 Dark Shadow
999 DeepThroat , WinSatan
1000 Der Spaeher 3
1001 Silencer , WebEx , Le Guardien , Silencer
1010 Doly trojan v1.35
1011 Doly trojan
1012 Doly trojan
1015 Doly trojan v1.5
1016 Doly Trojan 1.6
1020 Vampire
1024 Netspy , Bla1.1
1027 ICQ
1029 ICQ
1032 ICQ
1033 Netspy
1042 Bla 1.1
1045 Rasmin
1050 Mini Command 1.2
1080 Firewall Port , Wingate (Socks-Proxy)
1081 WinHole
1082 WinHole
1083 WinHole
1090 Xtreme
1095 RAT
1097 RAT
1098 RAT
1099 BFevolution, RAT
1170 Psyber Stream Server , Streaming Audio Trojan , Voice
1200 NoBackO
1201 NoBackO
1207 SoftWar
1212 Kaos
1225 Scarab
1234 Ultors Trojan
1243 SubSeven , BackDoor-G , Apocalypse , Tiles
1245 VooDoo Doll , GabanBus , NetBus
1255 Scarab
1256 Project nEXT
1269 Maverick's Matrix
1313 NETrojan
1338 Millenium Worm
1349 Back Orifice DLL
1492 FTP99CMP
1509 Psyber Streaming Server
1524 Trinoo
1600 Shivka-Burka
1777 Scarab
1807 SpySender
1966 FakeFTP
1969 OpC BO
1981 Shockrave
1999 BackDoor , Transcout 1.1 + 1.2
2000 Der Spaeher 3 , Transscout , Insane Network 4
2001 Trojan Cow , DerSpaeher 3 , TransScout
2002 TransScout
2003 TransScout
2004 TransScout
2005 TransScout
2023 Pass Ripper
2080 WinHole
2115 Bugs
2140 Deep Throat , The Invasor
2155 Illusion Mailer
2283 HVL Rat5
2300 Xplorer
2565 Striker
2583 WinCrash , Wincrash2
2600 Digital RootBeer
2716 The Prayer
2773 SubSeven
2801 Phineas Phucker
2989 Rat
3000 Remote Shutdown
3024 WinCrash No
3128 RingZero
3129 Master's Paradise
3150 Deep Throat (TCP & UDP) , The Invasor
3389 Win 2k Remote Terminal Service
3456 Teror Trojan
3459 Eclipse 2000 , Sanctuary
3700 Portal of Doom
3791 Total Eclypse 1.0
3801 Eclypse
4000 Skydance
4092 WinCrash
4242 Virtual hacking Machine
4321 Schoolbus 1.0 , BoBo
4444 Prosiak , Swift remote
4567 FileNail
4590 ICQTrojan
4950 ICQTrojan
5000 Sockets de Troie , Socket23 , Bubbel , Back Door Setup
5001 Sockets de Troie 1.x , Back Door Setup
5010 Solo
5011 OOTLT + OOTLT Cart
5031 Net Metropolitan 1.0
5032 Net Metropolitan 1.04
5321 Firehotcker
5343 wCrat
5400 BackConstruction1.2 , Blade Runner
5400 Blade Runner , Back Construction
5401 Blade Runner 1.x , Back Construction
5402 Blade Runner 2.x , Back Construction
5512 Illusion Mailer
5521 Illusion Mailer
5550 Xtcp 2.00 + 2.01
5555 ServeMe
5556 BO Facil
5557 BO Facil
5569 Robo-Hack
5631 PC-Anywhere
5637 PC Crasher
5638 PC Crasher
5714 WinCrash
5741 WinCrash
5742 Wincrash
5882 Y3K RAT
5888 Y3K RAT
6000 The tHing 1.6
6006 The tHing
6272 Secret Service
6400 The tHing
6666 TCPShell.c
6667 Schedule Agent
6669 Vampire , HostControl 1.0
6670 DeepThroat 1,2,3.x , BackWeb Server , WinNuke eXtreame
6671 DeepThroat 2.0 & 3.0
6711 Sub Seven
6712 Sub Seven , Funny Trojan
6713 Sub Seven
6723 Mstream
6771 DeepThroat
6776 Sub Seven , 2000 Cracks , BackDoor-G
6838 Mstream
6883 DeltaSource (DarkStar)
6912 Shitheep
6939 Indoctrination
6969 GateCrasher , Priority , IRC 3 , NetController
6970 Gate Crasher
7000 Remote Grab , Kazimas , SubSeven
7001 Freak 88
7215 SubSeven
7300 NetMonitor
7301 NetMonitor 1.x
7306 NetMonitor 2.x
7307 NetMonitor 3.x
7308 NetMonitor 4.x
7424 Host Control
7789 ICQKiller , Back Door Setup
7983 Mstream
8080 RingZero
8787 Back Orifice 2000
8879 Hack Office Armageddon
8897 BacHack
8988 BacHack
8989 Rcon
9000 Netministrator
9325 Mstream
9400 InCommand 1.0+1.1+1.2+1.3+1.4
9872 Portal of Doom
9873 Portal of Doom 1.x
9874 Portal of Doom 2.x
9875 Portal of Doom 3.x
9876 Cyber Attacker , RUX
9878 TransScout
9989 iNi-Killer
9999 ThePrayer 1.x
10067 Portal of Doom 4.x
10101 BrainSpy
10167 Portal of Doom 5.x
10520 Acid Shivers
10528 Host Control
10607 Coma , Danny
10666 Ambush
11000 Senna Spy Trojans
11050 Host Control
11051 Host Control
11223 Progenic trojan , Secret Agent
12076 Gjamer
12223 Hack´99 KeyLogger
12345 Netbus , Ultor's Telnet Trojan , GabanBus , My Pics , Pie Bill Gates , Whack Job , X-bill
12346 NetBus 1.x , GabanBus , X-bill
12349 BioNet
12361 Whack-a-mole
12362 Whack-a-mole 1.x
12623 DUN Control
12624 Buttman
12631 WhackJob
12701 Eclipse 2000
12754 Mstream
13000 Senna Spy
13010 Hacker Brazil
13700 Kuang2 The Virus
14141 BO2K-Plugin BO_Peep , Hijack
15092 Host Control
15104 Mstream
15151 BO2K-Plugin , BO_Peep - VidStream
16484 Mosucker
16660 Stacheldracht
16772 ICQ Revenge
16969 Priority
17166 Mosaic
17300 Kuang2 theVirus
17777 Nephron
18753 Shaft
19864 ICQ Revenge
20000 Millennium
20001 Millennium
20002 AcidkoR
20034 NetBus Pro , NetBus 2 Pro , NetRex , Whack Job
20203 Chupacabra , Logged!
20331 Bla
20432 Shaft
21544 GirlFriend , Schwindler 1.82 , Kidterror , WinSp00fer
21554 GirlFriend
22222 Prosiak 0.47
23023 Logged
23432 Asylium Family
23456 Evil FTP , Ugly FTP , WhackJob
23476 Donald Dick
23477 Donald Dick
26274 Delta Source
26681 Spy Voice
27374 Sub7 2.1
27444 Trinoo
27573 SubSeven
27665 Trinoo
29104 Host Control
29891 The Unexplained
30001 TerrOr32
30029 AOLTrojan1.1
30100 NetSphere
30101 NetSphere
30102 NetSphere
30103 NetSphere
30129 Masters Paradise
30133 Netsphere Final
30303 Sockets de Troie
30947 Intruse Pack 1.27b
30999 Kuang
31335 Trinoo
31336 Bo Whack , ButtFunnel
31337 Back Orifice , Netpatch , DeepBO , Freak> , Baron Night
31338 Back Orifice , DeepBO , NetSpy , ButtFunnel
31339 NetSpy DK
31666 BOWhack
31785 Hack'a'Tack
31787 Hack'a'Tack
31788 Hack'a'Tack
31789 Hack'a'Tack
31791 Hack'a'Tack
32100 Peanut Brittle , Project nEXT
32418 Acid Battery 1.0
33333 Prosiak , Blakharaz
33577 PsychWard
33777 PsychWard
33911 Trojan Spirit 2001 a
34324 BigGluck , Tiny Telnet Server
34555 Trinoo (Windows)
35555 Trinoo (Windows)
37651 YAT
40412 The Spy
40421 MastersParadise
40422 Masters Paradise 1.x
40423 Masters Paradise 2.x
40425 Masters Paradise
40426 Masters Paradise 3.x
41666 Remote Boot
43210 Schoolbus 1.6 & 2.0
44444 Prosiak , Stealthy TCP IO(BO2K Plugin)
47252 Delta Source
47262 Delta Source
49301 Online Keylogger
50505 Sockets de Troie
50766 Fore, Schwindler
51996 Cafeini
52317 Acid Battery 2000
53001 Remote Windows Shutdown
54283 SubSeven
54320 Back Orifice 2000
54321 Schoolbus 1.6 & 2.0 , Back Orifice
57341 NetRaider
58339 ButtFunnel
60000 Deep Throat 2.0 & 3.0
60068 Xzip 6000068
60411 Connection
61348 Bunker-Hill
61466 Telecommando
61603 Bunker-Hill
63485 Bunker-Hill
65000 Devil 1.03 , Stacheldracht
65432 The Traitor
65535 RC